Pesquisadores em cibersegurança detectaram um pacote malicioso no npm que se passa por instalador do OpenClaw para distribuir um trojan de acesso remoto (RAT) e roubar dados sensíveis das máquinas infectadas.
O pacote, chamado "@openclaw-ai/openclawai", foi submetido ao registro por um usuário identificado como "openclaw-ai" em 3 de março de 2026.
Até o momento, já foi baixado 178 vezes e permanece disponível para download.
A empresa de segurança JFrog, que identificou o pacote, explica que ele tem como alvo credenciais do sistema, dados de navegadores, carteiras de criptomoedas, chaves SSH, bancos de dados do Apple Keychain e histórico do iMessage.
Além disso, instala um RAT persistente com recursos de acesso remoto, proxy SOCKS5 e clonagem ao vivo de sessões do navegador.
Segundo o pesquisador Meitar Palas, “o ataque chama atenção pela ampla coleta de dados, pelo uso de engenharia social para capturar a senha do sistema da vítima e pela sofisticação na persistência e na infraestrutura de comando e controle (C2).”
Internamente, o malware se autodenomina GhostLoader.
A execução do código malicioso ocorre por meio de um gancho pós-instalação (postinstall hook), que reinstala o pacote globalmente com o comando "npm i -g @openclaw-ai/openclawai".
O binário do OpenClaw aponta para o arquivo "scripts/setup.js", definido na propriedade "bin" do arquivo "package.json".
Essa configuração faz com que o pacote seja instalado como uma ferramenta executável, acessível globalmente via linha de comando.
O arquivo "setup.js" funciona como um dropper de primeiro estágio: ao ser executado, exibe uma interface falsa de terminal com barras de progresso animadas para simular a instalação do OpenClaw.
Depois, o script apresenta um prompt falso de autorização do iCloud Keychain, solicitando que o usuário insira a senha do sistema.
Enquanto isso, o script baixa de forma criptografada um payload JavaScript secundário do servidor C2 ("trackpipe[.]dev"), que é decodificado, salvo em arquivo temporário e executado como processo filho em segundo plano.
Esse arquivo temporário é excluído após 60 segundos para dificultar a detecção.
Caso o diretório do Safari não esteja acessível (sem permissão de Full Disk Access), o script exibe um diálogo AppleScript que orienta o usuário a conceder essa permissão ao Terminal, com instruções passo a passo e um botão para abrir diretamente as Preferências do Sistema.
Essa ação permite que o payload secundário roube dados do Apple Notes, histórico do iMessage, Safari e Mail.
A segunda fase do malware, com cerca de 11.700 linhas de JavaScript, configura um framework completo de RAT e stealer.
Oferece persistência, coleta de informações, descriptografia de dados de navegador, comunicação com o C2, proxy SOCKS5 e clonagem ao vivo de sessões do navegador.
Entre os dados roubados estão:
- Keychain do macOS, incluindo o arquivo local login.keychain-db e todos os bancos do iCloud Keychain
- Credenciais, cookies, cartões de crédito e dados de preenchimento automático de navegadores baseados em Chromium (Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex e Comet)
- Dados de carteiras desktop e extensões de navegador
- Frases-semente de carteiras de criptomoedas
- Chaves SSH
- Credenciais de desenvolvedor e serviços em nuvem, como AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker e GitHub
- Configurações de agentes de inteligência artificial (IA)
- Dados protegidos por Full Disk Access, como Apple Notes, histórico do iMessage, histórico do Safari, configurações do Mail e informações da conta Apple
Na fase final, as informações coletadas são compactadas em um arquivo tar.gz e enviadas por múltiplos canais, incluindo o servidor C2, Telegram Bot API e GoFile.io.
Além disso, o malware mantém um daemon persistente que monitora o conteúdo da área de transferência a cada três segundos.
Exfiltra qualquer dado que corresponda a nove padrões pré-definidos, como chaves privadas, endereços de criptomoedas e chaves de serviços como AWS e OpenAI.
Outras funcionalidades incluem monitoramento de processos em execução, escaneamento em tempo real de mensagens do iMessage e execução de comandos enviados pelo C2, que podem variar entre:
- execução de comandos shell arbitrários
- abertura de URLs no navegador padrão
- download de payloads adicionais
- upload de arquivos
- ativação/desativação do proxy SOCKS5
- listagem de navegadores disponíveis
- clonagem de perfis de navegador para execução em modo headless
- destruição do malware
- atualização automática
A clonagem do navegador é especialmente preocupante, pois inicia uma instância headless do Chromium usando o perfil original, contendo cookies, dados de login e histórico.
Dessa forma, o atacante pode utilizar sessões autenticadas sem precisar das credenciais.
A JFrog resume: “O pacote @openclaw-ai/openclawai combina engenharia social, entrega de payloads criptografados, ampla coleta de dados e um RAT persistente em um único pacote npm.
O falso instalador em linha de comando e o prompt do Keychain são convincentes o suficiente para extrair senhas de sistemas até mesmo de desenvolvedores cautelosos.
Após essa captura, tais credenciais desbloqueiam a descriptografia do macOS Keychain e a extração de dados de navegadores, que normalmente seriam protegidos pelo sistema operacional.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...